保護(hù)云環(huán)境是一項(xiàng)挑戰(zhàn)，而保護(hù)混合云環(huán)境則更加困難。混合云具有更多的移動(dòng)部件和復(fù)雜性，因此企業(yè)必須構(gòu)建安全策略，既適用于內(nèi)部部署又可用于云系統(tǒng)。

在構(gòu)建和保護(hù)混合云時(shí)，企業(yè)會(huì)遇到很多挑戰(zhàn)，例如處理不同的組件和各種混合框架。為了應(yīng)對(duì)這些挑戰(zhàn)，請(qǐng)查看這些混合云最佳做法和高級(jí)安全策略以保護(hù)你的環(huán)境。

[[441319]]

混合云安全的挑戰(zhàn)

混合云模型很受歡迎，因?yàn)橥ㄟ^(guò)這種模型，企業(yè)可獲得靈活性和可擴(kuò)展性，還可優(yōu)化成本并提高可用性，同時(shí)保持對(duì)其基礎(chǔ)架構(gòu)的一定程度的控制。然而，混合兩種不同類型的環(huán)境會(huì)產(chǎn)生新的安全問(wèn)題。出于以下幾個(gè)原因，混合云特別難以保護(hù)：

(1) 多個(gè)組件?；旌显浦辽侔瑑蓚€(gè)組件：公共云和本地系統(tǒng)。這些組件被集成以形成一個(gè)環(huán)境。根據(jù)它們的來(lái)源，有些組件運(yùn)行在不同的基礎(chǔ)設(shè)施上，并通過(guò)不同的工具進(jìn)行管理。

(2) 復(fù)雜性。由于其復(fù)雜性，混合云很難有效地檢測(cè)和修復(fù)安全威脅。當(dāng)風(fēng)險(xiǎn)出現(xiàn)時(shí)，這是否會(huì)影響你的混合環(huán)境的公共云部分、私有組件或兩者皆有?答案并不總是很明確，這意味著企業(yè)需要投入時(shí)間和精力來(lái)尋找補(bǔ)救措施。

(3) 物理安全責(zé)任。在公共云中，供應(yīng)商負(fù)責(zé)保護(hù)對(duì)基礎(chǔ)設(shè)施的物理訪問(wèn)?；旌显频牟煌幵谟谒鼈儼镜鼗A(chǔ)設(shè)施。企業(yè)必須自己物理保護(hù)此基礎(chǔ)設(shè)施。

(4)  不同的混合框架。為了部署和管理混合云，企業(yè)可以使用公共云供應(yīng)商框架，例如 AWS Outposts、Azure Stack和Google Anthos。其他選項(xiàng)包括使用通用控制平面，例如Kubernetes，甚至構(gòu)建自定義控制平面。這些方法都有各自獨(dú)特的安全挑戰(zhàn)。這使得企業(yè)很難開(kāi)發(fā)適用于每種類型的混合環(huán)境的標(biāo)準(zhǔn)安全最佳實(shí)踐集。

基本混合云安全優(yōu)秀做法

高級(jí)混合云安全策略

有些企業(yè)會(huì)想要更多的選擇和自定義。除了基本的最佳做法外，企業(yè)還可以選擇增加額外的安全級(jí)別以滿足其獨(dú)特的需求。具體來(lái)說(shuō)，他們可以：

(1) 選擇開(kāi)放技術(shù)

一般來(lái)說(shuō)，基于開(kāi)放技術(shù)的混合云環(huán)境更容易觀察和管理。此類技術(shù)通常與基礎(chǔ)設(shè)施和工具無(wú)關(guān)，這使得數(shù)據(jù)收集和分析變得更加容易。這些技術(shù)還使企業(yè)能夠靈活地選擇各種安全監(jiān)控和修復(fù)工具，以滿足不同需求。有了更多的選擇，IT 團(tuán)隊(duì)可以構(gòu)建更加定制化的安全策略。

(2) 部署統(tǒng)一安全管理

建立一套統(tǒng)一的安全標(biāo)準(zhǔn)和工具，你可以在混合環(huán)境中部署這些標(biāo)準(zhǔn)和工具。與使用不同策略保護(hù)混合環(huán)境的公共和私有組件相比，標(biāo)準(zhǔn)化可以減少疏忽。在實(shí)踐中，統(tǒng)一安全管理意味著使用簡(jiǎn)化任務(wù)和操作的策略，例如將單一身份和訪問(wèn)管理框架應(yīng)用于整個(gè)混合環(huán)境。

(3) 擁抱人工智能和自動(dòng)化

這里的重點(diǎn)是不要夸大人工智能檢測(cè)和解決每個(gè)安全風(fēng)險(xiǎn)的能力。但是，自動(dòng)化和人工智能工具可用于幫助發(fā)現(xiàn)復(fù)雜混合環(huán)境中的風(fēng)險(xiǎn)。例如，云數(shù)據(jù)丟失防護(hù)工具可以自動(dòng)發(fā)現(xiàn)敏感數(shù)據(jù)。這些數(shù)據(jù)可能隱藏在你的混合環(huán)境中你不會(huì)手動(dòng)檢查的地方。

(4) 備份數(shù)據(jù)

對(duì)于防范勒索軟件等攻擊，數(shù)據(jù)備份至關(guān)重要。但請(qǐng)確保將備份存儲(chǔ)在混合環(huán)境之外的地方。在混合云中運(yùn)行的資源不應(yīng)能夠訪問(wèn)備份，無(wú)論它們位于何處。如果將備份存儲(chǔ)在混合環(huán)境，當(dāng)攻擊者破壞環(huán)境時(shí)，也可能破壞備份數(shù)據(jù)。